Penyerang yang mendapatkan akses awal ke jaringan korban kini memiliki metode lain untuk memperluas jangkauan mereka: menggunakan token akses dari pengguna Microsoft Teams lainnya untuk menyamar sebagai karyawan tersebut dan mengeksploitasi kepercayaan mereka.
Hal ini menurut perusahaan keamanan Vectra, yang menyatakan dalam sebuah nasihat pada 13 September bahwa Microsoft Teams menyimpan token otentikasi tidak terenkripsi, memungkinkan setiap pengguna untuk mengakses file rahasia tanpa memerlukan izin khusus. Menurut perusahaan tersebut, penyerang dengan akses sistem lokal atau jarak jauh dapat mencuri kredensial pengguna mana pun yang sedang online dan menyamar sebagai mereka, bahkan ketika mereka sedang offline, dan meniru identitas pengguna melalui fitur terkait apa pun, seperti Skype, dan melewati otentikasi multifaktor ( Kementerian Luar Negeri).
Kelemahan ini memberikan penyerang kemampuan untuk bergerak melalui jaringan perusahaan dengan lebih mudah, kata Connor Peoples, arsitek keamanan di Vectra, sebuah perusahaan keamanan siber yang berbasis di San Jose, California.
“Hal ini memungkinkan berbagai bentuk serangan termasuk gangguan data, spear-phishing, kompromi identitas, dan dapat menyebabkan gangguan bisnis jika rekayasa sosial yang tepat diterapkan pada akses tersebut,” katanya, sambil mencatat bahwa penyerang dapat “mengganggu komunikasi yang sah dalam suatu organisasi. dengan secara selektif menghancurkan, mengeksfiltrasi, atau terlibat dalam serangan phishing yang ditargetkan.”
Vectra menemukan masalah ini ketika peneliti perusahaan memeriksa Microsoft Teams atas nama klien, mencari cara untuk menghapus pengguna yang tidak aktif, sebuah tindakan yang biasanya tidak diizinkan oleh Teams. Sebaliknya, para peneliti menemukan file yang menyimpan token akses dalam teks jelas, yang memberi mereka kemampuan untuk terhubung ke Skype dan Outlook melalui API mereka. Karena Microsoft Teams menyatukan berbagai layanan — termasuk aplikasi tersebut, SharePoint, dan lainnya — perangkat lunak tersebut memerlukan token untuk mendapatkan akses, Vectra dinyatakan dalam penasehat.
Dengan token tersebut, penyerang tidak hanya dapat memperoleh akses ke layanan apa pun sebagai pengguna yang sedang online, namun juga melewati MFA karena keberadaan token yang valid biasanya berarti pengguna telah memberikan faktor kedua.
Pada akhirnya, serangan tersebut tidak memerlukan izin khusus atau malware tingkat lanjut untuk memberikan penyerang akses yang cukup sehingga menyebabkan kesulitan internal bagi perusahaan yang ditargetkan, kata penasihat tersebut.
“Dengan cukup banyak mesin yang disusupi, penyerang dapat mengatur komunikasi dalam suatu organisasi,” kata perusahaan itu dalam penasihatnya. “Dengan asumsi kendali penuh atas kursi-kursi penting — seperti kepala teknik, CEO, atau CFO sebuah perusahaan — penyerang dapat meyakinkan pengguna untuk melakukan tugas-tugas yang merugikan organisasi. Bagaimana Anda mempraktikkan pengujian phish untuk ini?”
Microsoft: Tidak Perlu Patch
Microsoft mengakui masalah ini tetapi mengatakan fakta bahwa penyerang harus sudah menyusupi sistem pada jaringan target mengurangi ancaman yang ditimbulkan, dan memilih untuk tidak melakukan patch.
“Teknik yang dijelaskan tidak memenuhi standar kami untuk segera diservis karena memerlukan penyerang untuk terlebih dahulu mendapatkan akses ke jaringan target,” kata juru bicara Microsoft dalam sebuah pernyataan yang dikirim ke Dark Reading. “Kami menghargai kemitraan Vectra Protect dalam mengidentifikasi dan mengungkapkan masalah ini secara bertanggung jawab dan akan mempertimbangkan untuk mengatasinya dalam rilis produk di masa mendatang.”
Pada tahun 2019, Proyek Keamanan Aplikasi Web Terbuka (OWASP) dirilis daftar 10 masalah keamanan API teratas. Masalah saat ini dapat dianggap sebagai Otentikasi Pengguna Rusak atau Kesalahan Konfigurasi Keamanan, yang merupakan masalah peringkat kedua dan ketujuh dalam daftar.
“Saya memandang kerentanan ini sebagai sarana lain untuk pergerakan lateral – yang pada dasarnya merupakan cara lain untuk alat sejenis Mimikatz,” kata John Bambenek, pemburu ancaman utama di Netenrich, penyedia layanan operasi keamanan dan analitik.
Alasan utama adanya kelemahan keamanan ini adalah karena Microsoft Teams didasarkan pada kerangka aplikasi Electron, yang memungkinkan perusahaan membuat perangkat lunak berdasarkan JavaScript, HTML, dan CSS. Ketika perusahaan beralih dari platform tersebut, kerentanannya akan hilang, kata Vectra's Peoples.
“Microsoft melakukan upaya yang kuat untuk beralih ke Aplikasi Web Progresif, yang akan mengurangi banyak kekhawatiran yang saat ini ditimbulkan oleh Electron,” katanya. “Daripada merancang ulang aplikasi Electron, asumsi saya adalah mereka mencurahkan lebih banyak sumber daya untuk masa depan.”
Vectra merekomendasikan perusahaan untuk menggunakan Microsoft Teams versi berbasis browser, yang memiliki kontrol keamanan yang cukup untuk mencegah eksploitasi masalah. Pelanggan yang perlu menggunakan aplikasi desktop harus “mengawasi file aplikasi utama untuk diakses oleh proses apa pun selain aplikasi resmi Teams,” kata Vectra dalam nasihatnya.
